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Kleine Anfrage 

der Abgeordneten Dr. Axel Troost, Susanna Karawanskij, Klaus Ernst, Jan Körte, 
Richard Pitterle und der Fraktion DIE LINKE. 


Datenschutz bei der Zusammenarbeit deutscher Finanzdienstleister 
mit IT-Unternehmen insbesondere aus den USA vor dem Hintergrund 
des NSA-Skandals 


Die Allianz SE, das weltgrößte Versicherungsuntemehmen, möchte zukünftig 
ihre Rechenzentren auslagem und an das amerikanische IT-Untemehmen IBM 
übergeben. Dies wirft unter anderem datenschutzrechtliche sowie verbraucher- 
schutzpolitische Probleme auf, denn im Zuge der NSA-Aftare steht die glaub- 
würdige Behauptung, der amerikanische Geheimdienst NSA habe mit vielen 
US-amerikanischen Herstellern von Computersoftware und -hardware und vie- 
len IT-Dienstleistem geheime Abkommen, die der NSA Zugang zu deren Daten- 
netzwerken eröffnen, im Raum. Es kann derzeit nicht ausgeschlossen werden, 
dass die NSA über amerikanische Unternehmen wie IBM Zugriff auf sensible 
Daten deutscher Kreditinstituts- und Versicherungskunden erhält. Deutsche Un- 
ternehmen müssen aber von Gesetzes wegen den Schutz der Daten ihrer Kunden 
sicherstellen und unterliegen dabei erheblichen Sorgfaltspflichten. Der Landes- 
beauftragte für den Datenschutz Schleswig-Holstein, Dr. Thilo Weichert, 
äußerte daher bereits starke Bedenken: „Angesichts der Erkenntnisse um die 
Ausspähaktionen durch US-Geheimdienste wäre es unverantwortlich, europä- 
ische Kundendaten in den USA verarbeiten zu lassen“ (taz.die tageszeitung vom 
26. November 2013). 

Wir fragen die Bundesregierung: 

1. Ist es aus Sicht der Bundesregierung im Sinne der einschlägigen Gesetzes- 
lage (z. B. Bundesdatenschutzgesetz, aber auch finanzsektorspezifische Re- 
gulierungen wie z. B. die Mindestanforderungen an das Risikomanagement 
- MaRisk) ausreichend, wenn ein Finanzdienstleistungsuntemehmen seine 
Kooperation mit einem externen IT-Dienstleister, der im Auftrag des Finanz- 
dienstleistungsuntemehmens Daten verarbeitet, erst dann auf den Prüfstand 
stellt, wenn diesem externen Dienstleister Verletzungen des Datenschutzes 
nachgewiesen bzw. von diesem eingestanden wurden, oder gebieten die 
Sorgfaltspflichten, dass das Finanzdienstleistungsuntemehmen die Koopera- 
tion mit dem externen IT-Dienstleister auch schon bei einem begründeten 
Verdacht auf Datenschutzverletzungen (z. B. im Fall behördlicher Ermittlun- 
gen oder Offenlegungen durch Whistleblower) auf den Prüfstand stellen? 

2. Ab welchem Umfang von datenschutzrechtlichen Verfehlungen eines beauf- 
tragten IT-Dienstleisters ist ein Finanzdienstleistungsuntemehmen verpflich- 
tet, die Kooperation mit diesem IT-Dienstleister unverzüglich zu beenden, 
und wie groß ist der Ermessensspielraum des Finanzdienstleistungsuntemeh- 
mens bei dieser Entscheidung? 
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3. Welche Rolle spielt es für die Beantwortung der Fragen 1 und 2, ob der ex- 
terne IT-Dienstleister seine Dienstleistung im ln- bzw. Ausland erbringt 
oder seinen Sitz im ln- bzw. Ausland hat? 

Welche Rolle spielt der Unterschied zwischen EU-Ausland, Drittstaaten im 
Allgemeinen und den USA im Besonderen, und welche Rolle spielt in 
diesem Zusammenhang jeweils der § 11 des Bundesdatenschutzgesetzes 
(BDSG)? 

4. Ist es aus Sicht der Bundesregierung generell zulässig, sensible Finanzdaten 
deutscher Bank- und Versicherungskunden an ausländische IT-Dienstleister 
weiterzugeben, wenn diese nicht denselben gesetzlichen Datenschutz- 
bestimmungen wie in Deutschland unterliegen, und welche Rolle spielt 
hierbei, ob es sich um EU-Mitglieds- oder Drittstaaten handelt (bitte be- 
gründen)? 

5. Wenn ja, welche rechtlichen (insbesondere datenschutzrechtlichen) Ein- 
schränkungen sind bei einer solchen Auslagerung zu beachten? 

6. Wenn nein, wie gedenkt die Bundesregierung gegen eine solche Auslage- 
rung vorzugehen, und welche Rolle spielt hierbei, ob es sich um EU-Mit- 
glied- oder Drittstaaten handelt? 

7. Teilt die Bundesregierung die Aussage des Landesbeauftragten für den 
Datenschutz Schleswig-Holstein, Dr. Thilo Weichert, „Angesichts der Er- 
kenntnisse um die Ausspähaktionen durch US-Geheimdienste wäre es un- 
verantwortlich, europäische Kundendaten in den USA verarbeiten zu lassen“ 
(taz.die tageszeitung vom 26. November 2013)? 

Wenn nein, waram nicht? 

8. Welche Behörden sind für die Überprüfung der Einhaltung der datenschutz- 
rechtlichen Bestimmungen seitens Finanzdienstleistungsuntemehmen zu- 
ständig, und welche Kontrollinstrumente stehen diesen Behörden zur 
Verfügung? 

9. Welche Rolle kommt bei der Überprüfung des Datenschutzes der Bundes- 
anstalt für Finanzdienstleistungsaufsicht (BaFin), z. B. im Rahmen der Auf- 
sicht über die Einhaltung der MaRisk, zu? 

10. Spielen bei der Überwachung des Datenschutzes durch Aufsichtsbehörden 
ausschließlich kundenbezogene Aspekte (Persönlichkeitsrechte etc.) eine 
Rolle, oder kann aus Sicht der Bundesregierung die Nichteinhaltung daten- 
schutzrechtlicher Verpflichtungen durch Finanzdienstleistungsuntemehmen 
auch eine Gefährdung eines oder mehrerer Finanzdienstleistungsuntemeh- 
men oder sogar systemische Risiken für die Stabilität des Finanzsektors ins- 
gesamt zur Folge haben? 

11. Wie häufig wird die Einhaltung der datenschutzrechtlichen Bestimmungen 
von der BaFin oder anderen Behörden durchschnittlich geprüft? 

Bei welchen Finanzdienstleistungsuntemehmen wird die Einhaltung der da- 
tenschutzrechtlichen Bestimmungen routinemäßig geprüft? 

Bei welchen Finanzdienstleistungsuntemehmen bedarf es eines konkreten 
Anlasses bzw. Anfangsverdachts, damit eine entsprechende Prüfung statt- 
findet? 

12. Wie viele Prüfungen auf Einhaltung datenschutzrechtlicher Bestimmungen 
hat die BaFin in den vergangenen drei Jahren durchgeführt (bitte nach Kre- 
ditinstituten, Versicherungen und Wertpapierdienstleistungsuntemehmen 
aufschlüsseln)? 

Wie viele davon waren routinemäßig, wie viele davon waren anlassbezo- 
gen? 
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13. Wie waren die Prüfungsergebnisse (bitte nach Art und Schwere der Be- 
anstandungen aufschlüsseln)? 

14. Wie bewertet die Bundesregierung vor dem Hintergrund der Enthüllungen 
im NSA-Überwachungsskandal, dass Booz Allen Hamilton, die ehemalige 
Firma des Whistleblowers Edward Snowden, einen Auftrag des Bundesmi- 
nisteriums der Finanzen zur Organisationsentwicklung der BaFin erhalten 
hatte (Antwort auf die Schriftliche Frage 1 1 auf Bundestagsdrucksache 1 8/ 
115), und sieht sie diesbezüglich sicherheits- und datenschutzrechtliche 
Probleme (bitte begründen)? 

15. Welche Kreditinstitute, Versicherungen und Wertpapi erhandelsuntemeh- 
men bedienen sich nach Kenntnis der Bundesregierung zur Verarbeitung ih- 
rer Kundendaten externer IT-Dienstleister? 

An welches Unternehmen erfolgte wann die Auslagerung? 

16. Wie viele und welche Finanzdienstleistungsuntemehmen haben nach Kennt- 
nis der Bundesregierung dabei die Verarbeitung ihrer Kundendaten zu IT- 
Dienstleistem ins Ausland verlagert? 

17. Sind der Bundesregierung außer der Allianz SE noch weitere Finanzdienst- 
leistungsuntemehmen bekannt, die eine Auslagerung ihrer Datenverarbei- 
tung an externe IT-Dienstleister erwägen, und wenn ja, um welche Unter- 
nehmen handelt es sich dabei? 

18. Wie beurteilt die Bundesregierung die Möglichkeit sowie die Wahrschein- 
lichkeit, dass die NSA durch Kooperation mit von deutschen Finanzdienst- 
leistungsuntemehmen beauftragten US-amerikanischen IT-Dienstleistem 
Zugriff auf Daten deutscher Finanzdienstleistungsuntemehmen erhalten 
kann und davon auch Gebrauch macht? 

Haben deutsche Geheimdienste von der NSA Daten deutscher Finanz- 
dienstleistungsuntemehmen erhalten? 

19. Was versteht die Bundesregierung unter dem Terminus „operative Ser- 
vices“, die der IT-Dienstleister aus einem anderen Staat anbietet, insbeson- 
dere aus datenschutz- sowie verbraucherschutzpolitischer Perspektive? 

20. Inwieweit verfügt die Bundesregierung über Kenntnisse, ob und inwieweit 
deutsche Kundendaten von Kreditinstituten, Versicherangen und Wert- 
papierhandelsuntemehmen in einer so genannten Cloud verarbeitet wurden 
oder werden, die ihrerseits auch mit Rechenzentren in Staaten verbunden ist, 
die keinen aus deutscher Sicht hinreichenden Datenschutz sicherstellen? 

21. Falls solche Kenntnisse bestehen, um wie viele und welche Kreditinstitute, 
Versicherungen und Wertpapierhandelsuntemehmen handelt es sich dabei 
im Einzelnen? 

ln welchen Staaten befanden oder befinden sich die entsprechenden verbun- 
denen Rechenzentren? 

22. Inwieweit haben die Bundesregierung bzw. deutsche Behörden (z. B. im 
Wege der Aufsicht) selbst Zugriffsmöglichkeiten auf eine Cloud deutscher 
Finanzdienstleistungsuntemehmen? 

23. Welche Daten in einer solchen Cloud können von wem in welcher De- 
tailliertheit und auf welcher Rechtsgrundlage abgeffagt werden? 

24. Welche Informationen und Erkenntnisse, insbesondere unter datenschutz- 
und verbraucherschutzrechtlichen Gesichtspunkten (insbesondere im Zuge 
des NSA- Skandals), liegen der Bundesregierung bezüglich des Unterneh- 
mens IBM als Outsourcingpartner vor, nachdem dieses Unternehmen nach den 
Rechenzentren der Elektronikmarktkette Media-Satum-Holding GmbH 
(seit dem Jahr 2008, vgl. Pressemitteilung vom 10. Dezember 2008 auf 
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www.presseportal.de) auch die zentralen EDV- Strukturen des Versiche- 
rungsuntemehmens Allianz SE übernehmen soll? 

Inwieweit und in welcher Form bestehen Informationsaustausch und Kon- 
trollmöglichkeiten, auch gemeinsam mit amerikanischen Behörden (bitte 
aufschlüsseln)? 

25. Was gedenkt die Bundesregierang im Weiteren zu unternehmen, um Daten- 
schutzverletzungen und Datenmissbrauch durch geheimdienstliche Ab- 
schöpfung von Daten deutscher Finanzdienstleistungsuntemehmen bzw. der 
von ihnen beauftragten IT-Dienstleister ggf. aufzudecken und zu verhin- 
dern? 

26. Ist von Seiten der Bundesregierung diesbezüglich eine konkrete politische 
Initiative angedacht, und wenn ja, wie sieht diese aus? 

27. Wie beurteilt die Bundesregierung Datenschutzverletzungen im Zusam- 
menhang mit dem NSA-Skandal vor dem Hintergrund des Transparenz- 
gebots als Ausfluss des informationellen Selbstbestimmungsrechts der Bür- 
gerin bzw. des Bürgers nach Artikel 2 Absatz 1 des Grundgesetzes (GG) 
i. V. m. Artikel 1 Absatz 1 GG? 


Berlin, den 19. Dezember 2013 

Dr. Gregor Gysi und Fraktion 
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